基于數據挖掘的網絡數據庫入侵檢測系統

王利

摘要：近年來，互聯網的廣泛使用讓人們的工作和生活節奏和效率都有所提高，也促進了信息的互通互動、共享。但是大批量的計算機紛紛涌入互聯網中，導致在龐大的體系中每一臺計算機都可能被作為互聯網的攻擊對象。目前，互聯網安全正面臨嚴峻挑戰，比如黑客侵入，病毒傳播以及網上信息披露等，為了能夠保護計算機網絡系統已經研發了多種安全技術產品，包括入侵檢測系統、防火墻、身份認證等。除此之外，還需要對網絡安全進行實時監控。該文通過數據挖掘技術在互聯網入侵檢測中的應用，并提出基于混合檢測模型，能夠幫助實現網絡入侵檢測系統的優化工作。

關鍵詞：數據挖掘;網絡;數據庫;入侵;檢測;系統

中圖分類號：TP393? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2018）36-0007-02

隨著互聯網的高速發展，在社會各個領域中的應用廣泛，且入網人數和網絡信息量也逐漸增加，大大促進了信息的流通和共享，也提高了人們的日常工作效率。然而，由于互聯網絡具有個性化，開放性的特點，而使得每一臺計算機都有可能成為網絡攻擊對象。近年來，多起互聯網事件頻頻發生，比如黑客攻擊，網絡詐騙等，尤其是近年來，政府越來越注重信息化的改革，在深化改革的同時也凸顯了一些涉及國家安全和財產安全系列問題，能夠從一定程度使社會造成不可挽回的經濟損失。針對互聯網所出現的安全問題，相關部門需要加大對網絡信息技術產品開發以及軟件應用開發，形成了一系列的互聯網信息安全產品，包括入侵檢測系統，防火墻系統等。目前，國內外已經開展了對互聯網檢測技術及系統應用方面的研究，但是如何提高入侵檢測的準確性，提高漏包率是有關部門的研究目標，這對于我國開展入侵檢測技術的相關研究是十分重要的。

1 入侵檢測系統相關技術

入侵是指外界對計算機，互聯網，信息系統的破壞性，使其完整性，安全性受到外部活動侵入，而如今，檢測是指特殊部門能夠利用多種方法識別不法行為，通過收集內外部的活動數據和識別活動行為，來對計算機的整個活動進行分析，識別異常行為。入侵檢測系統是能夠利用數據分析識別計算機網絡系統異常行為，針對所識別出來的異?；顒訑祿M行檢測，包括內外部一些用戶的行為數據解析，利用這種入侵檢測系統能夠實時監測到網絡運行系統的用戶行為，并針對這些異常行為采取有效措施，極大程度控制異常狀況。

首先，在異常檢測模式過程中需要利用基線模板技術。檢測基線樣板是對指在一定的監控范圍內，可以自定義系統參數，而系統也會根據實際流量進行參數調整，比如警示閾值，檢測統計方式，檢測基線被用于測量或者評定某些特征流量是否為異常流量。數據挖掘技術是二十世紀八十年代逐步發展起來的，由于數據庫的容量逐漸增加，尤其是復制倉庫技術外表數據源的應用如何能夠讓客戶有效?？焖倮眯畔祿诰蚣夹g應用而生。數據挖掘是指通過在大量的數據庫信息中進行挖掘，提取并將這些提取信息表示為模式，模型，規律，概念等，以被客戶所需。除此之外，還要Flow數據流技術。數據流是指一些指定的來源和節點之間能夠通過單方向流動的，由一系列數據包所構成的信息傳輸單位，所包含的內容非常精確，能夠直接反映節點之間的信息。

2 檢測系統的需求分析

入侵檢測系統的設計主要是為了能夠有效提高檢測時效性，從而能夠降低誤報率，優化檢測模型系統，并通過實驗來驗證。首先，在異常檢測方面主要面臨三個問題：誤報率高，實時性弱，檢測能力弱。為了有效改善這些問題，相關研究機構側重于通過統計學的方法，專家系統來對一些計算機異常行為活動，構建了入侵檢測系統;其次，優化入侵檢測模型。數據挖掘是基于大數據情況下而產生的一種應用技術，入侵檢測實質上是對系統內外部進行識別，一旦發現異?；顒?，將這種活動會傳遞給檢測器，屬于數據分析的過程，因此在入侵檢測系統研究過程中可以充分利用數據挖掘技術;最后，通過實驗對設計原型系統進行驗證，從而減少基于數據挖掘的入侵檢測模型的誤報率，而在入侵檢測系統中應用數據挖掘技術能夠實現綜合檢測，并通過實驗來證明方法和假設的合理性。

從入侵檢測系統的功能需求方面來看，入侵檢測能夠收集Ip數據流，用戶日志，包括源數據端口，目的Ip地址，源端口號，字節計數等信息。在采集重要信息數據過程中利用了基于網絡設備提供的Netflow機制，從而能夠實現數據采集工作，并能夠提高信息采集效率，滿足網絡監測的要求。其次，入侵檢測數據挖掘算法實現需求，一般過去的入侵檢測技術是利用了統計學，專家系統等方法，出現不同量級的檢測產品，而且不同的檢測系統產品也存在較大差異，網絡入侵檢測系統主要是為了掃描網絡數據，監視內部網段，實現對IDs監控的調整，便于發現惡意攻擊的行為，但是，傳統的入侵檢測系統需要相關人員通過經驗來判斷，存在一定程度的誤判情況。

3 入侵檢測系統的設計與實現

進行入侵檢測原型系統設計時要遵循一定的原則，系統的設計技術要規范，遵循標準接口規范，入侵檢測系統在設計過程中要遵循相關行業技術規范要求，便于系統采集網絡用戶數據，入侵檢測原型系統能夠從一定程度來滿足拓展性和可操作性;其次，要考慮安全性問題，在設計入侵檢測系統中，要保證用戶數據不會被盜用，保證網絡系統數據的一致性，在發生故障時，可以采用故障自查和緊急報警的形式來提醒工作人員采取應對措施，保證用戶數據不會丟失和損壞。除此之外，入侵檢測系統需要還具備較高的識別準確性，有效減少誤報率，軟件在應用上也需要設計靈活的結構，可以基于混合算法繼續模型設計，從而提高入侵檢測的準確性。

在進行入侵檢查系統設計過程中，首先需要預處理系統的日志數據，比如可以通過建立決策樹模型或利用關聯規則聯合的模型基于關聯規則集合形成決策樹，通過保存好的參數檢測系統風險。從入侵檢測系統的功能模塊上來看，基于數據挖掘的系統需要按照不同的功能實現設計需求，可以劃分為四個主體功能模塊分別是：數據預處理，數據挖掘算法模型功能，檢測模塊以及基礎管理模塊。其中數據預處理包括兩個數據采集標準化功能，可以用于將互聯網日志數據的提取，并對所提取的數據進行標準化轉化，能夠為之后建立模型提供必要的數據格式，而數據挖掘檢測模塊是有兩種離線和在線檢測的方法，可以幫助用戶對檢測結果進行及時處理，一旦發現入侵行為時，系統會向管理員及時發出警報信息，系統基礎管理模塊主要是用于用戶的權限管理，登錄管理，數據管理等功能。從入侵檢測系統的體系結構上來看，可以分為三個級別用戶層，業務層和數據層，不同的功能層具有不同的功能類別。首先，用戶層主要是提供入侵檢測系統的界面兒業務層是該系統的核心，是實現系統核心業務邏輯以及實現入侵檢測模型算法的基本功能，數據層是對檢測到的信息進行儲存，查詢，處理等。此外，基于數據挖掘的入侵檢測系統硬件平臺終端是基，1024M內存，AMD64，以及500G的硬盤配置，而這種檢測系統目前可以對網絡客戶以及相關設備這兩種市場群體實行檢測。

4 小結

本文通過深入分析入侵檢測技術數據挖掘技術，同時闡述了該技術的特點，提出基于該技術由關聯規則和決策樹實現基于混合模型的入侵檢測模型，并從系統設計，功能設計實現方面分別闡述，有助于提高網絡入侵的檢測的準確性，降低誤報率，為之后網絡進行入侵檢測系統優化提供參考。

參考文獻：

[1] 王魯華， 楊宇波， 趙陽. 基于數據挖掘的網絡入侵檢測方法[J]. 信息安全研究， 2017，3（9）：810-816.

[2] 周立軍， 張杰， 呂海燕. 基于數據挖掘技術的網絡入侵檢測技術研究[J]. 現代電子技術， 2016，39（6）：10-13.

[3] 王倩. 基于數據挖掘的入侵檢測技術的研究與實現[D]. 北京郵電大學， 2017.

[通聯編輯：代影]